Dotkom
A következő, kritikus Windows hibára hajtó féreg
Igen rövid idő alatt megérkezett a második féreg, ami a Windows-ban található RPC hibát igyekszik kihasználni.
A féreg paraméterei
Felfedezésének ideje: 2003. augusztus 12.
Utolsó frissítés ideje: 2003. augusztus 13.
Veszélyeztetett rendszerek: Windows 9x/Me/NT/2k/XP
Nem érintett rendszerek: Windows 3.x, Microsoft IIS, Macintosh, UNIX, Linux, OS/2
Mérete: 24.064, 43.520 byte
Fertőzések száma: 0-49
Földrajzi elterjedtsége: alacsony
Károkozás mértéke: alacsony
Eltávolítása: könnyű
Aktiválódása esetén lezajló események
– felmásolja magát a System könyvtárba vagy nstask32.exe, vagy winlogin.exe néven
– bemásolja magát a Windows Temp könyvtárába néhány véletlenszerűen generált nevű állománnyal
– szintén a System könyvtárban létrehoz egy DLL állományt, melynek nevét a következő kettőből választja: win32sockdrv.dll, yuetyutr.dll
– a féreg a felmásolt DLL-t az Explorer.exe process-ébe illeszti, mint egy modult; ennek révén terjed IRC-n keresztül; illetve szintén a DLL állomány révén használja ki a Windows RPC sérülékenységét
– hozzáadja az NDplDeamon=nstask32.exe vagy az NDpLDeamon=winlogin.exe bejegyzést a következő Registry kulcsokhoz:
. HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce
. HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
– a féreg egyik variánsa hozzáadja a winlogon=winlogin.exe bejegyzést is a HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run kulcshoz
– a következő sorokat illeszti be a System.ini állományba, feltéve, hogy Windows 9x/Me környezetben van:
[boot]
shell = explorer.exe [a féregfile, például nstask32.exe]
– Windows NT/2000/XP alatt hozzáadja a HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon Registry kulcshoz a következő két bejegyzés valamelyikét:
. Shell=explorer.exe winlogin.exe
. Shell=explorer.exe nstask32.exe
– saját IRC-kliense révén egy előre meghatározott IRC-szerverhez csatlakozik, ahol egy csatornához kapcsolódva alkotójától érkező parancsokra vár (ezek egyike lehet a már korábban említett RPC sérülékenység kihasználása: véletlenszerűen IP-címeket generál; megvizsgálja, hogy található-e ott számítógép; majd a 113-as TCP porton keresztül adatot küld a hiba kiaknázása végett)
– létrehozza a rejtett Cmd.exe állományt, amely a 4444-es TCP porton hallgatózik, lehetővé téve a támadónak a kiszolgáltatott rendszer irányítását
– létrehoz egy TFTP-szervert, és a 69-es UDP porton hallgatózik; miután kap egy kérelmet egy távoli számítógéptől, ahhoz csatlakozik; elküldi számára az Nstask32.exe vagy a Winlogin.exe file-t, majd utasítja a távoli rendszert a féreg futtatására
[fbcomments url="https://www.technokrata.hu/egazdasag/dotkom/2003/08/13/a-kovetkezo-kritikus-windows-hibara-hajto-fereg/" width="800" count="off" num="3" countmsg=""]
